Защита информации в инфокоммуникационных системах и сетях.-3

221

«административным», а нижний «техническим». Таким образом, в «административный» раздел войдут документы вводного, организационного, классификационного и штатного разделов. «Технический» раздел охватит свод правил, инструкций и требований по обеспечению информационной безопасности организации.

Вводный раздел

Позиция администрации предприятия по вопросу защиты информационных активов:

Надежное функционирование информационной компьютерной сети предприятия является частью производственного процесса. Защита информационных активов предприятия необходима.

Типовые цели предприятия в области защиты информации:

Приоритетной целью любого предприятия является обеспечение целостности,

конфиденциальности, доступности информации. В качестве частных целей:

следование экономической целесообразности в выборе защитных мер,

обеспечение подотчетности всех действий пользователей с информационными ресурсами и анализа регистрационной информации,

и др.

Организационный раздел

Данный раздел включает описание всех групп пользователей имеющих отношение к работам в области информационной безопасности. В принципе данную формулировку можно трактовать по-разному, так как каждый пользователь сети так или иначе несет ответственность за некоторую часть производственной информации, с которой он работает. В

таком контексте данный документ можно рассматривать как положение о категорировании пользователей автоматизированной системы.

Этот документ также может содержать положение о категорировании ресурсов.

Положение о категорировании пользователей АС:

В АС входят следующие группы пользователей:

Группа Администраторы. В нее входят администраторы информационных технологий и безопасности. Администраторы имеют полный доступ к ресурсам АС для ее администрирования.

Группа Топ-менеджеры. В группу входят: президент компании, генеральный директор,

технический директор, заместители и т.д.

221

222

Группа Сотрудники. В группу входят все сотрудники компании (экономисты,

бухгалтеры, сотрудники отдела кадров, …).

Каждая группа пользователей обладает различными правами доступа к информации различного уровня секретности. Уровень секретности определяется положением о категорировании ресурсов организации.

Положение о категорировании ресурсов:

В компании вводятся следующие уровни категорий секретности информации:

общедоступно,

конфиденциально,

строго конфиденциально,

секретно.

Сотрудникам компании строго запрещается разглашать кому-либо информацию,

начиная с уровня «конфиденциально».

Общедоступной информацией является информация, уже опубликованная в средствах массовой информации, а также на Web-сайте компании. Решение о придании статуса

«Общедоступно» принимает генеральный или технический директор.

Конфиденциальной информацией в компании является любая внутренняя информация компании (служебная, штатная,…).

Строго конфиденциальной информацией в компании является:

коммерческая информация (тексты договоров и соглашений с партнерами и клиентами),

техническая информация (тексты отчетов, ТЗ, значимые документы, продукты, ключи лицензирования и т.д.).

Решение о придание статуса «Строго конфиденциально» коммерческой информации принимает генеральный директор. Решение о придание статуса «Строго конфиденциально» технической информации принимает технический директор.

Порядок обращения с информацией, подлежащей защите Должны быть четко описаны и классифицированы следующие действия с

информацией:

1.копирование;

2.хранение;

3.передача почтой, факсом, е-мейлом;

4.передача голосом, включая мобильные телефоны, голосовую почту;

5.уничтожение.

222

223

1.Информация уровня «общедоступно». Доступ, копирование и любая передача информации данного уровня не ограничены. Уничтожение информации возможно только ее владельцем.

2.Информация уровня «конфиденциально». Подлежит защите от НСД средствами разграничения доступа.

Доступ к данной информации может осуществляться сотрудниками компании локально и удаленно. Удаленный доступ из корпоративной сети осуществляется без применения средств шифрования трафика. Удаленный доступ из Internet осуществляется с применением средств шифрования трафика.

Доступ к информации уровня «конфиденциально» осуществляется категориями пользователей: Администраторы, Топ-менеджеры, Сотрудники.

Копирование и любая передача информации данного уровня ограничены периметром компании. Уничтожение информации возможно только ее владельцем.

3. Информация уровня «строго конфиденциально». Подлежит защите от НСД средствами разграничения доступа и криптографической защите.

Удаленный доступ из корпоративной сети осуществляется с применением средств шифрования трафика. Удаленный доступ сотрудников из Internet осуществляется с применением средств шифрования трафика. Копирование и любая передача информации данного уровня возможно только в пределах компании и только авторизованным персонам.

Уничтожение информации возможно только ее владельцем.

Право на удаление информации уровня “секретно” имеет только администратор безопасности вместе с ИТ – администратором (пароль разделен на две части между ними) с

разрешения тех. Директора.

Доступ к информации уровня «строго конфиденциально» осуществляется категориями пользователей: Топ-менеджеры, Сотрудники (с разрешения тех. директора).

4. Информация уровня «секретно» подлежит защите от НСД, криптографической защите и обязательному протоколированию доступа.

Удаленный доступ из корпоративной сети осуществляется с применением средств шифрования трафика. Удаленный доступ из Internet запрещен. Копирование и любая передача информации данного уровня возможно только в пределах компании и только авторизованным персонам. Уничтожение информации возможно только ее владельцем.

Право на удаление информации уровня «секретно» имеет только администратор безопасности вместе с ИТ-администратором администратором (пароль разделен на две части между ними) с разрешения тех. директора.

223

224

Доступ к информации уровня «строго конфиденциально» осуществляется категориями пользователей: Топ-менеджеры.

Классификационный раздел

Данный раздел описывает имеющиеся в организации материальные, информационные ресурсы и необходимый уровень их защиты.

В качестве материальных ресурсов могут выступать элементы, описанные выше. В

проекции на организацию с моделью безопасности информационной сети (рисунок 6.9)

данный список может принять вид:

Аппаратное обеспечение:

компьютеры,

принтеры,

сканеры,

факсы и телефоны,

коммуникационные линии,

сетевое оборудование (сетевые карты) и их составные части.

Программное обеспечение:

операционные системы: Windows 2000, Server, NT, 98/95 (для рабочих станций),

прикладные программы: офисные приложения (MS Word, MS Excel, …), базы данных

(1C, MS Access, Oracle, …), другое (…),

почтовые протоколы POP3, SMTP,

сетевые протоколы: стек TCP/IP,

система анализа защищенности (Internet Scanner),

система обнаружения атак IDS,

…

Информационное обеспечение (вводимые и обрабатываемые, хранимые, передаваемые и резервные (сохранные копии) данные и метаданные):

данные о сотрудниках (информация о личности (ФИО, …), занимаемой должности,

правах доступа к информации, заработанной плате, …),

данные о клиентах/партнерах,

данные о соглашениях/контрактах с клиентами/партнерами,

промежуточные данные (при обработке какой бы то ни было информации),

данные о конфигурации системы, используемом оборудовании и программах, ….

224

225

Персонал:

обслуживающий персонал (ИТ – администраторы, администраторы безопасности),

пользователи (администрация организации, топ-менеджеры, экономисты, юристы,

кладовщики, клиенты,…).

Документация (конструкторская, техническая, пользовательская, …).

Расходные материалы:

бумага,

магнитные носители,

картриджи,

др.

Штатный раздел

Данный раздел характеризует меры безопасности, применяемые к персоналу, иначе говоря, эти документы функционируют на процедурном уровне защиты информации.

Типовые документы:

Описание должностей с точки зрения информационной безопасности,

Организация обучения и переподготовки персонала,

Порядок реагирования на нарушения режима безопасности и т.п.

Данный уровень был подробно рассмотрен ранее (см. п.3).

Раздел инструкций и требований по обеспечению внутренней информационной безопасности компании

Приведу перечень всех типовых инструкций:

Правила парольной защиты Правила защиты от вирусов и злонамеренного программного обеспечения

Требования по контролю за физического доступом Требования по физической защите оборудования

Инструкция по безопасному уничтожению информации или оборудования Инструкция по безопасности рабочего места (документов на рабочем столе и на экране

монитора)

Правила осуществления удаленного доступа Правила осуществления локального доступа Требования резервного сохранения информации

225

226

Требования мониторинга и ведения диагностических лог файлов Требование мониторинга доступа и использования систем и ведения лог файлов Требования при обращении с носителями данных Требования по неэлектронному информационному обмену Требования при регистрации пользователей Требования по проверке прав пользователей

Требования по контролю доступа в операционную систему Требование к процедуре входа в систему (log on)

Правила использования системных утилит Правила удаленной работы мобильных пользователей

Следующие требования должны быть предусмотрены:

Требование распределения ответственности при обеспечении безопасности Правила безопасности при выборе персонала Требования контроля оперативных изменений Требования проверки входных данных

Требования к применению криптографических средств управления Требования по контролю программ операционной системы Требования по контролю доступа к исходным текстам программ и библиотек Требования контроля вносимых изменений Требование обеспечения непрерывности бизнеса

Требования соблюдения авторского права на программное обеспечение Требования обеспечения сохранности улик (свидетельств, доказательств)

Требования по управлению системным аудитом Инструкции

По приему на работу и допуску новых сотрудников к работе в АС и наделения их необходимыми полномочиями по доступу к ресурсам системы.

По увольнению работников и лишения их прав доступа в систему.

По действиям различных категорий персонала, включая сотрудников отдела безопасности информации, по ликвидации последствий кризисных (аварийных или нештатных) ситуаций, в случае их возникновения.

Действия персонала по ликвидации последствий кризисных (аварийных или нештатных) ситуаций в случае их возникновения.

Процедуры контроля в случае инцидентов.

226

227

7. Контроль безопасности информационной системы

7.1. Нормативная база аудита

7.1.1. Законодательство в области аудита безопасности

Наиболее значимыми нормативными документами в области информационной безопасности, определяющими критерии для оценки защищенности АС, и требования,

предъявляемые к механизмам защиты, являются:

Общие критерии оценки безопасности информационных технологий (The Common Criteria for Information Technology Security Evaluation/ISO 15408);

Практические правила управления информационной безопасностью (Code of practice for Information Security Management/ISO 17799);

Кроме этого, в нашей стране первостепенное значение имеют Руководящие документы

(РД) Гостехкомиссии России. В других странах их место занимают соответствующие национальные стандарты (там, где они есть).

ISO 15408: Common Criteria for Information Technology Security Evaluation

Наиболее полно критерии для оценки механизмов безопасности программно-

технического уровня представлены в международном стандарте ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий), принятом в 1999 году.

Общие критерии оценки безопасности информационных технологий (далее «Общие Критерии») определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements).

При проведении работ по анализу защищенности АС, а также СВТ «Общие критерии» целесообразно использовать в качестве основных критериев, позволяющих оценить уровень защищенности АС (СВТ) с точки зрения полноты реализованных в ней функций безопасности и надежности реализации этих функций.

Хотя применимость «Общих критериев» ограничивается механизмами безопасности программно-технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите,

которые непосредственно связаны с описываемыми функциями безопасности.

227

228

Первая часть «Общих критериев» содержит определение общих понятий, концепции,

описание модели и методики проведения оценки безопасности ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной области.

Требования к функциональности средств защиты приводятся во второй части «Общих критериев» и могут быть непосредственно использованы при анализе защищенности для оценки полноты реализованных в АС (СВТ) функций безопасности.

Третья часть «Общих критериев» содержит классы требований гарантированности оценки, включая класс требований по анализу уязвимостей средств и механизмов защиты под названием AVA: Vulnerability Assessment. Данный класс требований определяет методы,

которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей:

Наличие побочных каналов утечки информации;

Ошибки в конфигурации либо неправильное использование системы, приводящее к переходу в небезопасное состояние;

Недостаточная надежность (стойкость) механизмов безопасности, реализующих соответствующие функции безопасности;

Наличие уязвимостей («дыр») в средствах защиты информации, дающих возможность пользователям получать НСД к информации в обход существующих механизмов защиты.

Соответствующие требования гарантированности оценки содержатся в следующих четырех семействах требований:

Семейство AVA_CCA: Covert Channel Analysis (Анализ каналов утечки информации);

Семейство AVA_MSU: Misuse (Ошибки в конфигурации либо неправильное использование системы, приводящее к переходу системы в небезопасное состояние);

Семейство AVA_SOF: Strength of TOE Security Functions (Стойкость функций безопасности, обеспечиваемая их реализацией);

Семейство AVA_VLA: Vulnerability Analysis (Анализ уязвимостей).

При проведении работ по аудиту безопасности перечисленные семейства требований могут использоваться в качестве руководства и критериев для анализа уязвимостей АС (СВТ).

ISO 17799: Code of Practice for Information Security Management

Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799: Code of Practice for Information

Security Management (Практические правила управления информационной безопасностью),

228

229

принятом в 2000 году. ISO 17799 является ни чем иным, как международной версией британского стандарта BS 7799.

ISO 17799 содержит практические правила по управлению информационной безопасностью и может использоваться в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты (об этом упоминалось в первом разделе).

Практические правила разбиты на следующие 10 разделов:

Политика безопасности;

Организация защиты;

Классификация ресурсов и их контроль;

Безопасность персонала;

Физическая безопасность;

Администрирование компьютерных систем и вычислительных сетей;

Управление доступом;

Разработка и сопровождение информационных систем;

Планирование бесперебойной работы организации;

Контроль выполнения требований политики безопасности.

В этих разделах содержится описание механизмов безопасности организационного уровня, реализуемых в настоящее время в правительственных и коммерческих организациях во многих странах мира.

Десять средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые),

считаются особенно важными. Под средствами контроля в данном контексте понимаются механизмы управления информационной безопасностью организации.

При использовании некоторых из средств контроля, например, шифрования данных,

может потребоваться оценка рисков, чтобы определить нужны ли они и каким образом их следует реализовывать. Для обеспечения более высокого уровня защиты особенно ценных ресурсов или оказания противодействия особенно серьезным угрозам безопасности в ряде случаев могут потребоваться более сильные средства контроля, которые выходят за рамки

ISO 17799.

Десять ключевых средств контроля, перечисленные ниже, представляют собой либо обязательные требования, например, требования действующего законодательства, либо считаются основными структурными элементами информационной безопасности, например,

обучение правилам безопасности. Эти средства контроля актуальны для всех организаций и сред функционирования АС и составляют основу системы управления информационной

229

230

безопасностью. Они служат в качестве основного руководства для организаций, приступающих к реализации средств управления информационной безопасностью.

Ключевыми являются следующие средства контроля: Документ о политике информационной безопасности;

Распределение обязанностей по обеспечению информационной безопасности; Обучение и подготовка персонала к поддержанию режима информационной

безопасности; Уведомление о случаях нарушения защиты;

Средства защиты от вирусов; Планирование бесперебойной работы организации;

Контроль над копированием программного обеспечения, защищенного законом об авторском праве;

Защита документации организации; Защита данных;

Контроль соответствия политике безопасности.

Процедура аудита безопасности АС включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту безопасности АС также является анализ и управление рисками.

РД Гостехкомиссии России

В общем случае в нашей стране при решении задач защиты информации должно обеспечиваться соблюдение следующих указов Президента, федеральных законов, постановлений Правительства Российской Федерации, РД Гостехкомиссии России и других нормативных документов (см. также раздел 1):

Доктрина информационной безопасности Российской Федерации; Указ Президента РФ от 6 марта 1997 г. №188 «Об утверждении перечня сведений

конфиденциального характера»; Закон Российской Федерации «Об информации, информатизации и защите

информации» от 20.02.95 N 24-ФЗ;

Закон Российской Федерации «О связи» от 16.02.95 N 15-ФЗ;

Закон Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 N3523-1;

230